Piratage de "Choisir le service public" : des données sensibles déjà en vente sur le Web

Piratage de "Choisir le service public" : des données sensibles déjà en vente sur le Web
Maurine Briantais

Et une de plus ! La plateforme "Choisir le service public" a elle aussi été victime d'une fuite de données, qui comprends les informations d'identification des utilisateurs ainsi que celles relatives à leurs parcours et à leurs aspirations professionnelles.

Décidément, les organismes publics français sont attaqués de toutes parts en ce moment ! Après le ministère de l'Intérieur et l'URSSAF, c'est au tour de "Choisir le service public", la plateforme de recrutement et de valorisation des métiers du service public, d'être victime d'une fuite de données. Pour rappel, elle a pour objectif d'attirer des candidats, de faire connaître les métiers, les concours, les employeurs et les opportunités d'emploi dans la fonction publique. Or, le 16 février dernier, elle a envoyé un mail à certains utilisateurs pour les prévenir qu'un "incident de sécurité" était survenu le 4 février 2026, via la compromission d'un compte gestionnaire. Et ce ne sont pas uniquement les données d'identification des usagers qui ont été dérobées, mais aussi des informations beaucoup plus sensibles...

Piratage du Service Public : une vague d'arnaques à l'embauche en approche

Au total, ce seraient pas moins de 377 418 candidats qui seraient touchés par cet incident et ont vu leurs données être mises en vente sur le Dark Web – celles de 1 000 candidats sont déjà en libre accès. Les informations dérobées concernent les prénoms, les adresses postales complètes, les numéros de téléphone, les dates de naissance et les adresses électroniques des victimes, à savoir tout ce qu'il faut pour usurper leurs identités et organiser des campagnes de phishing personnalisées. Mais ça, c'est de l'habituel malheureusement.

Le problème, c'est que les cybercriminels se sont aussi emparés de données précises concernant leurs parcours et leurs aspirations professionnelles, à savoir le niveau de diplôme atteint, le parcours académique, le type de poste recherché, le domaine de spécialisation professionnelle, les langues maîtrisées, la catégorie d'emploi visée et les préférences géographiques pour le futur poste. En revanche, "aucun mot de passe personnel pour l'accès aux comptes candidats" n'a été compromis, de même que les CV et autres pièces jointes.

En plus des habituelles campagnes de phishing toujours plus sophistiquées et personnalisées, toutes ces informations peuvent permettre aux escrocs de monter de toutes pièces des arnaques à l'embauche, via de fausses offres d'emploi et même de faux processus de recrutement à l'aide de l'IA. Certains n'hésitent pas à approcher les demandeurs d'emploi via la messagerie de LinkedIn et à mener de faux entretiens à distance.

"En connaissant l'identité complète, les coordonnées, le parcours académique et les postes visés, les cybercriminels peuvent fabriquer des messages personnalisés, imitant parfaitement des recruteurs ou des administrations", alerte Benoit Grunemwald, expert cybersécurité chez ESET. "S'y ajoutent les arnaques aux fausses formations ou certifications obligatoires, souvent financées via le CPF, où l'escroc conditionne une prétendue embauche au paiement de frais administratifs ou à l'achat d'un module de formation fictif".

Et c'est sans compter les profils sensibles, comme les candidats issus de la défense, de l'aéronautique ou du numérique critique. "Les groupes étatiques comme Lazarus exploitent ces fuites pour mener des opérations ciblées. À partir des compétences exactes et du domaine recherché, ils construisent de fausses offres prestigieuses destinées à attirer des experts techniques. L'ouverture d'un document piégé, présenté comme une fiche de poste ou un test technique, déclenche l'installation de malwares spécialisés", ce qui entraîne "l'exfiltration silencieuse de données industrielles sensibles et, à terme, le vol de propriété intellectuelle stratégique susceptible d'alimenter des programmes militaires adverses." Bref, c'est une très, très mauvaise nouvelle.

Piratage du Service Public : jamais deux sans trois ?

L'organisme "Choisir le service public" a depuis pris les mesures nécessaires pour renforcer la sécurité de ses systèmes, ce qui a entraîné la désactivation de certaines fonctions du site pendant plusieurs jours – mais tout est depuis rentré dans l'ordre. Il a également notifié la Commission nationale de l'informatique et des libertés (CNIL), l'Agence de la sécurité des systèmes d'information (ANSSI) et les utilisateurs concernés, comme il est de coutume dans cette situation, et compte déposer une plainte pénale auprès des autorités. Une FAQ a également été mise en place afin de donner aux victimes plus d'informations sur cet incident.

Le groupe a réinitialisé les mots de passe de tous les comptes utilisateurs et lancé une analyse technique approfondie pour identifier l'origine de la violation. Il recommande aux demandeurs d'emploi touchés "d'être particulièrement vigilants concernant une éventuelle utilisation anormale de ces données personnelles". Mieux vaut également éviter de cliquer sur des liens suspects ou d'ouvrir un document transmis par un contact non vérifié, surtout s'il s'agit d'une "promesse d'embauche". De même, mieux vaut éviter de payer une formation ou une certification liée à un recrutement sans contrôle indépendant. Et, bien sûr, il faut surveiller attentivement ses comptes, surtout administratifs. 

C'est déjà la seconde fois que le service public français est touché cette année. En janvier dernier, Service-public.fr, le guichet à distance d'information administrative et d'accès aux démarches en ligne, avait aussi été victime d'une cyberattaque par le biais d'un sous-traitant (voir notre article). L'attaque avait compromis 160 000 documents administratifs, comprenant des données d'identification et des pièces justificatives (cartes d'identité, passeports, justificatifs de domicile). Autant dire que c'était assez grave !